A AEPD aplicou uma coima de 200.000 euros pela utilização obrigatória de telemóveis pessoais no local de trabalho

Publicações13 de maio de 2026
A AEPD multou uma empresa por obrigar os trabalhadores a instalar aplicações nos seus telemóveis pessoais, violando assim os princípios da minimização dos dados, da base legal e da informação ao trabalhador.

1. Os factos: utilização obrigatória de telemóveis pessoais e vigilância excessiva

O acórdão, proferido no processo EXP2024114111, decorre de uma queixa apresentada por um dos motoristas da Ares Capital (doravante, a "entidade" ou a "empresa"), que denunciou que a empresa o obrigava a utilizar o seu telemóvel pessoal para trabalhar e a descarregar quatro aplicações necessárias à prestação de serviços.


O trabalhador alegou que estas aplicações monitorizavam continuamente a sua atividade e que não tinha sido suficientemente informado sobre a natureza, o âmbito e o funcionamento do tratamento de dados, situação que afectava toda a força de trabalho.


Durante o inquérito, a AEPD verificou que algumas das aplicações requeridas incluíam permissões particularmente intrusivas, permitindo o acesso a, entre outras coisas:

  • Geolocalização contínua ou precisa.
  • Fotografias e vídeos.
  • Gravações de áudio.
  • Informações de identificação pessoal.
  • Dados de saúde ou de fitness.

A AEPD sublinha que o que importa não é se a empresa utiliza efetivamente todos estes dados, mas se as permissões técnicas das aplicações o permitem e não podem ser modificadas pelo trabalhador.


A empresa argumentou que a utilização de telemóveis pessoais era voluntária, uma vez que os trabalhadores tinham a opção de solicitar um dispositivo fornecido pela empresa ou de utilizar o seu próprio dispositivo em troca de uma compensação financeira. No entanto, a mesma empresa reconheceu que os trabalhadores não podiam modificar as definições ou as permissões das aplicações e que o fornecimento e a distribuição de telemóveis da empresa dependiam da disponibilidade de recursos e do orçamento, comprometendo-se a fornecê-los gradualmente.


2. As sanções impostas pela AEPD

Na sequência destes factos, a AEPD aplicou três sanções que evidenciam os principais riscos decorrentes da utilização de telemóveis pessoais no trabalho e da sua regulamentação - ou falta dela - através de políticas BYOD:

  • Não cumprimento do princípio da minimização dos dados (100 000 euros): A Agência considera que as aplicações exigidas recolheram mais dados do que os necessários para os condutores desempenharem as suas funções. Especificamente, podiam aceder a informações como localização contínua, imagens, gravações áudio, contactos ou mesmo dados de saúde, o que é excessivo, especialmente porque se trata de dispositivos pessoais. A AEPD salienta que, sempre que possível, devem ser utilizadas alternativas menos intrusivas, como a geolocalização do veículo, e tem ainda em conta o elevado número de trabalhadores afectados (mais de 5.700) ao classificar a infração como muito grave.
  • Falta de uma base jurídica válida (80 000 euros): Embora a empresa tenha contado com o consentimento dos trabalhadores, a AEPD considera que este foi insuficiente, uma vez que, na prática, não existia uma alternativa real desde o início (o fornecimento de telemóveis da empresa dependia da disponibilidade). No contexto laboral, o consentimento só é válido se o trabalhador o puder recusar sem consequências, o que não era o caso. Além disso, a Agência observa que não podem ser utilizadas outras bases jurídicas se os dados recolhidos excederem o necessário.
  • Incumprimento do dever de informação (80 000 euros): A AEPD salienta que os trabalhadores não receberam informações claras e completas sobre os dados que estavam a ser recolhidos ou sobre a forma de deixarem de ser monitorizados no final do dia de trabalho. A este respeito, a prestação de informações adequadas implica explicar, por exemplo, se é suficiente terminar a sessão, se as aplicações continuam a ser executadas em segundo plano ou se é necessário desligar o dispositivo, em vez de se limitar a incluir cláusulas gerais no contrato.

Para além da sanção, a AEPD concedeu à empresa um prazo de dois meses para corrigir a situação e exige-lhe que limite a recolha de dados ao estritamente necessário, estabeleça uma base jurídica adequada para a utilização de telemóveis pessoais e assegure que os trabalhadores sejam devidamente informados, incluindo o desligamento fora do horário de trabalho.


3. Conclusão

Este acórdão estabelece uma referência clara para as empresas, deixando claro que a utilização de ferramentas tecnológicas não pode transferir os riscos do cumprimento da regulamentação para os trabalhadores. Em particular, a utilização de telemóveis pessoais no trabalho exige uma maior prudência: o consentimento do trabalhador não é suficiente e é essencial supervisionar as permissões das aplicações para evitar um tratamento excessivo dos dados.


Para as empresas que operam em modelos BYOD, esta decisão significa que devem rever as suas práticas, analisar minuciosamente as ferramentas utilizadas e garantir que o tratamento de dados é estritamente limitado ao necessário, fornecendo informações claras e completas aos funcionários. Neste cenário, é essencial procurar aconselhamento especializado para identificar riscos, adaptar políticas internas e garantir que a utilização de tecnologia está alinhada com o RGPD e as diretrizes da AEPD, minimizando assim potenciais riscos.


Nota informativa do Departamento de Proteção de Dados da ECIJA Madrid.

Una composición arquitectónica abstracta en blanco y negro que muestra formas geométricas superpuestas.

Sócios relacionados

ATUALIDADE #ECIJA